もう4月も終わりに近づいていますが、1~3月のサイバー脅威関連のトピックをまとめてみました。
不正プログラム関連ではまず1月にヨーロッパを中心に「TROJ_SMALL.EDW」、「WORM_NUWAR」ファミリーの大規模な感染報告がありました。この今年最初の流行は、初期段階でヨーロッパでの大嵐関連ニュースに偽装した電子メールでの侵入が目立ったため「Storm Worm」と一般に呼ばれました。「Storm Worm」は亜種の登場と外部サイトからの複数の不正プログラムのダウンロードが続き「STRATION」に続くシーケンシャル攻撃例となりました。その後もユーザに興味を持たせる件名でワームメールを送信する「WORM_NUWAR」ファミリーの亜種は登場し続けています。
より地域的な攻撃の例として、ドイツで続いている「TROJ_YABE」ファミリーを使った攻撃があげられます。「TROJ_YABE」ファミリーは2005年から存在するトロジャンファミリーですが、すでに1年以上もドイツ語のメールに添付される方法での攻撃が続いています。今年に入ってからも eBay Germany、1&1、Gez、Spiegel、IKEA、German Telekom、Apple store Germanyなどドイツ内での有名企業を騙った不正メールが1月から3月まで継続して確認されています。
有名企業を騙る手口はよく使われるソーシャルエンジニアリング的手法のひとつですが、その他には虚偽のニュースを送る手法や、実際の重大ニュースやイベントに便乗するものがあります。
1月にはイラクのフセイン元大統領の死刑執行(「TSPY_BANKER.FWW」、「TROJ_BANLOAD.BLK」)、2月にはオーストラリア首相の心臓発作というニセニュースメール(「TROJ_SMALL.GHI」)のケースがありました。3月にはイラク情勢やイスラエルとパレスチナの対立などのニュースを装ったケース(「WORM_WALLA.B」)が複数確認されました。
1月末には世界最大のイベントのひとつであるアメリカンフットボールのスーパーボウルの開催地のサイトに他の不正サイトへリダイレクトするスクリプトタグが埋め込まれていることが発見されました。この正規サイトに他の不正サイトへリダイレクトするスクリプトタグを埋め込む方法は3月末以降のアニメーションカーソルの脆弱性のゼロデイアタックでも多く確認されており、攻撃方法として確立した感があります。
その他のWeb経由攻撃としては、「ZLOB」ファミリーの頒布が続いています。動画再生に必要な動画コーデックと偽ってユーザに「ZLOB」ファミリーの不正プログラムをダウンロード、インストールさせる手口です。このニセ動画コーデックサイトによる「ZLOB」ファミリーの頒布は去年の後半から現在でもまだ続いています。3月には米国のソーシャルネットワーキングサービスサイト「MySpace」のコメントで不正サイトに誘導したり、コンテンツとしてQuickTimeの脆弱性を含んだ動画ファイルがアップロードされるなどの例が確認され、「Web2.0」を利用した攻撃との注目を集めました。
セキュリティホール関連でまとめると、3月末に確認された「アニメーションカーソル処理の脆弱性」に対するゼロデイ攻撃は、アジアを中心に多くのケースが確認されました。主な攻撃方法としてはHTML形式の電子メールや一般のWebサイトにゼロデイ攻撃を含むサイトやデータを呼び出すスクリプトタグを埋め込む方法が確認されています。特に一般のサイトの改竄によるWeb経由の攻撃が多く確認されました。対して電子メールでの攻撃はターゲットを絞った攻撃に利用されたため、攻撃が表面化するケースはあまり多くはありませんでした。攻撃コードを含むファイルは「EXPL_ANICMOO.GEN」などとして検出対応されています。
また、「Word」、「EXCEL」のMSOFFICE製品や「一太郎」などのセキュリティホールがターゲット攻撃に利用されるケースが継続して発生しています。
1月の「TROJ_MDROPPER.EQ」(MS07-014)、2月の「TROJ_MDROPPER.FC」、「TROJ_MDROPPER.MY」(MS07-015)はOFFICEアプリケーションへのゼロデイ攻撃となりました。
2月には「一太郎」の既存のセキュリティホールを狙う「TROJ_MDROPPER.EU」、「TROJ_MDROPPER.EV」も確認されています。日本独自のアプリケーションである「一太郎」のセキュリティホールへの攻撃は、日本がサイバー犯罪者の標的となっていることを示すひとつの証左と言えます。
このようなセキュリティホールの攻撃に関しては攻撃ファイルの作成ツールや配布サイトなども確認されています。セキュリティホールへの攻撃は通常では有り得ないコード実行が実現できる方法であり、サイバー犯罪者が最も狙っている攻撃方法と言えます。
その他にこの四半期のトピックとしては、まず「WORM_ZHELATIN.CH」がありました。このマスメーリングワームはほとんど流行はありませんでしたが、ワームメールの送信にWebメールを利用する点で注目されました。
また、これまで狙われていなかったUIQプラットホームのスマートフォンを狙う「SYMBOS_FEAKS.A」は携帯端末を狙う攻撃が広まりつつあることを示していると言えます。
不正プログラム以外の話題では、株価吊り上げを狙うスパムメールの横行に対し、米国証券取引委員会が取引停止措置を行ったニュースがあります。ネットワーク内での攻撃が現実世界に大きな影響を与えているという実例と言えるでしょう。